Powiatowa Stacja Pogotowia Ratunkowego w Tarnowie
Tarnów, 2018
2
DANYCH OSOBOWYCH
ROZDZIAŁ TYTUŁ STRONA
I Postanowienia ogólne 3
II Procedury nadawania, zmiany uprawnień do przetwarzania danych i rejestrowania uprawnień w systemach informatycznych
6
III Metody i środki uwierzytelniania w systemach informatycznych 8 IV Procedury rozpoczęcia, zawieszenia i zakończenia pracy przez
użytkowników systemów
11
V Procedury tworzenia kopii zapasowych danych. 12
VI Przechowywanie nośników zawierających dane oraz kopii zapasowych 14
VII Środki ochrony systemów informatycznych. 15
VIII Zasady udostępniania danych osobowych . 17
IX Procedury wykonywania przeglądów i konserwacji systemów 19
XX Postanowienia końcowe 20
XXI Załączniki 21
3
DANYCH OSOBOWYCH
I. Postanowienia ogólne
§ 1
CEL INSTRUKCJI
Celem niniejszego dokumentu jest określenie zasad właściwego zarządzania systemem informatycznym w PSPR Tarnów służącym do przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać wchodzące w jego skład, urządzenia, odpowiednio do skali zagrożeń i kategorii danych objętych ochroną. Stosowanie zasad określonych w niniejszym dokumencie ma na celu zapewnienie prawidłowej ochrony danych osobowych przetwarzanych przez Powiatową Stacje Pogotowia Ratunkowego w Tarnowie w systemach informatycznych, rozumiane jako ochronę danych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy oraz utratą, uszkodzeniem lub zniszczeniem.
§ 2
ŹRÓDŁA WYMAGAŃ
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Powiatowej Stacji Pogotowia Ratunkowego w Tarnowie zwana dalej „Instrukcją” została opracowana zgodnie z wymogami § 5 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
§ 3
ZAKRES STOSOWANIA ORAZ DEFINICJE
Instrukcję stosuje się do danych osobowych przetwarzanych w systemach informatycznych, danych osobowych zapisanych w postaci elektronicznej na zewnętrznych nośnikach informacji oraz informacji dotyczących bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych.
4
DANYCH OSOBOWYCH
Instrukcja zawiera specyfikację podstawowych środków technicznych ochrony danych osobowych oraz elementów zarządzania systemem informatycznym. W przypadku wystąpienia potrzeb wprowadzenia nowych lub modyfikacji istniejących zasad bezpieczeństwa przetwarzania danych osobowych w systemie, wnioski o ich uwzględnienie i wdrożenie powinni składać właściwi przedstawiciele komórek organizacyjnych, w których przetwarzane są dane osobowe, bezpośrednio do Administratora Danych Osobowych. Podstawowe definicje i pojęcia stosowane w niniejszym dokumencie:
Administrator danych Osobowych (ADO) – Dyrektor Powiatowej Stacji Pogotowia Ratunkowego w Tarnowie, który decyduje o środkach i celach przetwarzania danych osobowych.
Administrator Systemów Informatycznych (ASI) – osoba wyznaczona przez Dyrektora PSPR Tarnów odpowiedzialna za nadzorowanie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, w tym w szczególności za przeciwdziałanie dostępowi osób trzecich do systemu, w którym przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie ochrony danych osobowych.
Inspektor Ochrony Danych (IOD) – osoba odpowiedzialna za monitorowanie przestrzegania przepisów ogólnego rozporządzenia o ochronie danych (RODO), przepisów krajowych i polityk obowiązujących u administratora (ADO)
Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
5
DANYCH OSOBOWYCH
Osoba upoważniona – osoba posiadająca formalne upoważnienie wydane przez Administratora danych lub przez osobę wyznaczoną, uprawniona do przetwarzania danych osobowych.
Przetwarzanie danych osobowych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie.
System informatyczny – zespół współpracujących urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
Użytkownik systemu – osoba upoważniona do bezpośredniego dostępu do danych osobowych przetwarzanych w systemie informatycznym.
Ustawa – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1) oraz Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U.
z 2018 r. poz. 1000 z późn.zm.) oraz wydanych na jej podstawie rozporządzenia.
Zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony czy podzielony funkcjonalnie.
6
DANYCH OSOBOWYCH
II. Procedury nadawania, zmiany uprawnień do przetwarzania danych i rejestrowania uprawnień w systemach informatycznych.
1. Dostęp pracowników do systemu informatycznego, programów przetwarzających dane osobowe oraz urządzeń z nimi powiązanych możliwy jest wyłącznie na podstawie upoważnienia wydanego przez ADO. Wzór upoważnienia stanowi załącznik nr 1 do niniejszej Instrukcji Bezpieczeństwa.
2. ADO prowadzi ewidencję osób upoważnionych do ich przetwarzania zgodnie z rejestrem osób upoważnionych do przetwarzania danych osobowych. Wzór rejestru stanowi załącznik nr 2 do niniejszej Instrukcji Bezpieczeństwa.
3. Przed dopuszczeniem do pracy w systemie informatycznym, każda osoba powinna być zaznajomiona z przepisami dotyczącymi ochrony danych osobowych oraz polityką bezpieczeństwa.
4. Użytkownicy danych osobowych obowiązani są do zachowania ich w tajemnicy podczas wykonywania czynności służbowych, jak i po ustaniu zatrudnienia.
5. Fakt zapoznania się z Polityką i Instrukcją, pracownik potwierdza własnoręcznym podpisem na stosownym wykazie. Wzór wykazu stanowi załącznik nr 3 do niniejszej Instrukcji
§ 4
1. Opis procedury nadawania/modyfikacji/odbierania uprawnień do systemów informatycznych stosowany w PSPR zakłada, iż użytkownicy uzyskują dostęp do systemów informatycznych PSPR na z góry zdefiniowanych profilach użytkownika w zależności od zakresu obowiązków i powierzonych zadań do wykonania na danym stanowisku.
2. Aby nadać uprawnienia, w poszczególnych systemach informatycznych użytkowanych w PSPR, IOD wypełnia odpowiednie upoważnienie dla danego pracownika i przedstawia ADO do zatwierdzenia.
3. Po uzyskaniu akceptacji ADO wniosek jest realizowany przez pracownika Działu Informatyki i Łączności, który tworzy odpowiednie konto w systemie/aplikacji.
4. Po zrealizowaniu upoważnienia ASI przekazuje informację użytkownikowi o nadanym identyfikatorze i haśle tymczasowym, które użytkownik musi zmienić przy pierwszym uruchomieniu systemu.
7
DANYCH OSOBOWYCH
5. W przypadku rozwiązania umowy o pracę lub umowy cywilno-prawnej z osobą współpracującą z PSPR, Dział Kadr niezwłocznie zgłasza ten fakt do ASI i IOD.
6. W przypadku pracownika, z którym został rozwiązany stosunek pracy, ASI zobowiązany jest zarchiwizować zgodnie z przepisami prawa dane tego użytkownika systemu, a następnie skasować/zablokować wszystkie konta z uprawnieniami w systemie/aplikacji.
§ 5
Powyższe zasady nadawania/odbierania uprawnień dostępu do wszystkich systemów/aplikacji eksploatowanych w PSPR obowiązują wszystkich pracowników etatowych oraz osoby realizujące świadczenia w ramach umów cywilno-prawnych.
W przypadku gdy osoba jest pracownikiem etatowym, ewentualnie posiada więcej niż jeden etat oraz jednocześnie realizuje świadczenia w ramach umów cywilno-prawnych, wnioski muszą być tworzone i realizowane oddzielnie dla każdej z wymienionych form współpracy. W przypadku gdy system/aplikacja nie posiada wbudowanych mechanizmów kontroli dostępu, wówczas należy niezwłocznie rozbudować taki system/aplikacje o te mechanizmy, a do czasu wdrożenia takich mechanizmów należy zaimplementować ograniczenia dostępu na poziomie systemu operacyjnego, bądź ograniczenia proceduralne.
8
DANYCH OSOBOWYCH
III. Metody i środki uwierzytelniania w systemach informatycznych.
§ 6
1. Naczelną zasadą bezpieczeństwa systemów/aplikacji i sieci IT jest ochrona informacji przed nieuprawnionym dostępem, ujawnieniem, przypadkowym lub nieautoryzowanym zniszczeniem lub modyfikacją danych. Stosowanie zasad uwierzytelniania użytkowników systemów/aplikacji ma bezpośredni wpływ na zachowanie poufności, rozliczalności oraz integralności danych.
§ 7
1. W systemach/aplikacjach informatycznych PSPR stosuje się uwierzytelnienie dwustopniowe, na poziomie:
a) dostępu systemu operacyjnego komputera, b) dostępu do systemu/aplikacji.
2. Do uwierzytelnienia użytkownika w systemie/aplikacji na obu poziomach używa się identyfikatorów i haseł.
a) Stosowanie unikalnych identyfikatorów użytkownika zapewnia bezpieczeństwo i realizuje zasady rozliczalności w systemach i sieciach teleinformatycznych PSPR.
b) Zasada ta ma na celu przypisanie w sposób jednoznaczny wszelkich działań w systemie konkretnemu użytkownikowi (nie dopuszcza się, aby użytkownik korzystał z kont: administrator, gość, a także z konta innego użytkownika),
9
DANYCH OSOBOWYCH
c) Ograniczenie dostępu do informacji jedynie do kręgu użytkowników uprawnionych (autoryzowanych) wymaga przyjęcia odpowiednio dobranej polityki stosowania haseł.
§ 8
1. Hasła nie mogą być powszechnie używanymi słowami. W szczególności nie należy jako haseł wykorzystywać: dat, imion, nazwisk, inicjałów, numerów rejestracyjnych samochodów, numerów telefonów bądź innych bezpośrednio kojarzących się z użytkownikiem.
2. Hasło nie może być ujawnione innej osobie nawet po utracie ważności hasła.
3. Zasady Haseł
- Hasło zmieniane jest co 30 dni
- Hasło powinno zawierać minimum 8 znaków,
- Hasło nie dopuszcza haseł historycznych do 2 wstecz
4. W przypadku dłuższej bezczynności w pracy stanowiska komputerowego, automatycznie powinien uruchomić się wygaszacz ekranu chroniony hasłem lub użytkownik powinien sam zablokować stację tak, aby jej ponowne użycie było możliwe po podaniu hasła dostępu.
5. Jeżeli zachodzi konieczność połączenia do systemów/aplikacji SWD z komputera znajdującego się w sieci publicznej, poza siecią LAN/WAN należy stosować rozwiązania typu VPN z połączeniem szyfrowanym, uwierzytelnionym za pomocą certyfikatu.
§ 9
1. Procedura zarządzania certyfikatami VPN:
a) do generowania certyfikatów służy dedykowany do tego celu serwer VPN z zainstalowanym specjalistycznym oprogramowaniem zarządzany przez Administratorów Systemu SWD.
10
DANYCH OSOBOWYCH
b) każdy certyfikat w celu identyfikacji nazwie zawiera nazwisko osoby dla której zostaje wystawiony,
c) każdy certyfikat jest zabezpieczony hasłem,
d) do każdego certyfikatu ASI konfiguruje dostęp tylko do wybranych serwerów/stacji roboczych według zasady uprawnień minimalnych,
§ 10
2. Procedura zarządzania środkami uwierzytelniania:
a) ASI nadaje hasło dostępu do systemu/aplikacji lub sieci LAN/WAN dla nowego użytkownika albo dla użytkownika, który zapomniał swojego ostatniego hasła,
b) użytkownik systemu/aplikacji niezwłocznie ustala swoje, znane tylko jemu hasło, po nadaniu hasła przez ASI, przy pierwszym logowaniu,
c) użytkownik systemu w dowolnym momencie może zmienić swoje hasło dostępu do systemu/aplikacji,
d) obowiązuje bezwzględny zakaz notowania w jakiejkolwiek formie obecnych oraz wygasłych haseł dostępu,
11
DANYCH OSOBOWYCH
IV. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przez użytkowników systemów.
§ 11
1. Procedura rozpoczęcia pracy:
a) uruchomić komputer wchodzący w skład systemu informatycznego, podłączony fizycznie do sieci lokalnej i zalogować się podając identyfikator i hasło dostępu,
b) uruchomić wybrany system/aplikację (w szczególności aplikację bazodanową m.in.
przetwarzającą dane),
c) zalogować się do systemu/aplikacji podając identyfikator i hasło dostępu.
2. Procedura zawieszenia pracy w systemie/aplikacji. Przy każdorazowym opuszczeniu stanowiska komputerowego, należy dopilnować, aby na ekranie nie były wyświetlane informacje lub dane, poprzez zablokowanie komputera. Każdy użytkownik ma obowiązek stosowania wygaszacza ekranu zabezpieczonego hasłem lub wylogowania się z systemu.
3. Procedura zakończenia pracy w systemie:
a) zamknąć system/aplikację,
b) zamknąć system operacyjny komputera i zaczekać na jego wyłączenie, c) wyłączyć monitor,
d) sprawdzić, czy elektroniczne nośniki informacji zawierające dane osobowe nie zostały pozostawione bez nadzoru.
12
DANYCH OSOBOWYCH
V. Procedury tworzenia kopii zapasowych danych.
§ 12
1. Kopie danych wykonywane są wg ustalonego Harmonogramu przez pracownika Działu Informatyki i Łączności. Nad poprawnością tworzenia i harmonogramu kopi czuwa ASI.
2. Kopie tworzone są wg harmonogramu:
- Program Comarch Optima – (serwer )kopie wykonywane 2 razy w tygodniu,
- Program Płatnik , KH, Płace ( komputer Kadry) – kopia danych wykonywana raz w miesiącu automatycznie,
- Program Mercomp (kopia wykonywana 2 razy w tygodniu przez Informatyka),
- System SWD PRM kopia danych automatyczna,
- Rejestrator rozmów na numery alarmowe - kopia danych automatyczna,
- Rejestrator rozmów radiołączności oraz telefonów stacjonarnych – kopia automatyczna
- Kopia danych indywidualnych, użytkowników lokalnych z każdego komputera wykonywana na bieżąco w czasie rzeczywistym, zapisywana na dedykowanym serwerze plików NAS przy każdej zmianie (auto-backup). W PSPR Tarnów przyjęto iż foldery w których przechowywane są dane a które będą poddane operacji kopi automatycznej, to foldery (Pulpit oraz Moje Dokumenty).
Na prośbę pracownika automatyczną kopią może być objęty dowolny inny zbiór danych na komputerze.
13
DANYCH OSOBOWYCH
§ 13a) Kopie danych przechowywane są minimum do pół roku wstecz, a w przypadku nagrań rozmów do 3 lat wstecz.
b) Wszystkie kopie PSPR przechowywane są na dyskach dedykowanego Serwera Plików, pracującego w trybie RAID 1. (podwójna kopia na dwóch fizycznie oddzielonych dyskach twardych)
c) Każdy użytkownik posiada wydzieloną część serwera plików dostępną tylko na podstawie jego uprawnień , na której przechowywane są jego indywidualne pliki kopi.
d) Kopie baz danych znajdują się na serwerach bazodanowych lub komputerach na których pracują dane programy oraz automatycznie kopiowane są również na serwer plików do wydzielonego katalogu (Katalog Baz)
14
DANYCH OSOBOWYCH
VI. Przechowywanie nośników zawierających dane oraz kopii zapasowych.
§ 14
1. Elektroniczne nośniki informacji:
a) dane w postaci elektronicznej przetwarzane w systemie zapisane na nośnikach przenośnych (np.
dyskach twardych, pamięciach przenośnych ) są własnością PSPR,
b) wyżej wymienne elektroniczne nośniki informacji są przechowywane w pokojach stanowiących obszar przetwarzania danych,
c) po zakończeniu pracy przez użytkowników systemu/aplikacji, ww. elektroniczne nośniki informacji są przechowywane w meblach biurowych ze sprawnym zamknięciem lub w kasetkach,
d) elektroniczne nośniki informacji, o których mowa powyżej, powinny być oznaczone w sposób umożliwiający ich identyfikację.
2. Przekazywanie i niszczenie elektronicznych nośników informacji:
a) elektroniczne nośniki informacji zawierające dane osobowe można przekazywać tylko podmiotom lub osobom uprawnionym na podstawie przepisów prawa, za zgodą osoby do tego upoważnionej przez Administratora Danych Osobowych,
b) dane osobowe na każdym nośniku zewnętrznym powinny być zabezpieczone przed odczytem (minimum hasłem),
c) dane osobowe przenoszone za pomocą zewnętrznych nośników informacji powinny być z nich trwale usunięte po poprawnym ich przeniesieniu na docelowy sprzęt komputerowy i do docelowej bazy danych.
15
DANYCH OSOBOWYCH
VII. Środki ochrony systemów informatycznych.
§ 15
1. Poniżej przedstawiono zasady ochrony systemów przetwarzania danych przed tzw. „szkodliwym oprogramowaniem” oraz próbami penetracji przez osoby nieuprawnione.
2. Ochrona antywirusowa
a) za ochronę antywirusową odpowiada ASI,
b) czynności związane z ochroną antywirusową systemu informatycznego wykonuje ASI, wykorzystując w trakcie pracy systemu informatycznego moduły programu antywirusowego w aktualnej wersji, sprawdzającego na bieżąco zasoby systemu informatycznego,
c) oprogramowanie antywirusowe jest instalowane centralnie na serwerze, oraz na wszystkich stanowiskach komputerowych podłączonych do sieci,
d) aktualizacja bazy sygnatur wirusów oprogramowania antywirusowego odbywa się codziennie, w sposób automatyczny dla wszystkich komputerów zainstalowanych w sieci,
e) instalacja oprogramowania antywirusowego oraz jego aktualizacja na komputerach niepodłączonych do sieci, odbywa się nie rzadziej niż raz w tygodniu i jest wykonywana przy zastosowaniu nośników zewnętrznych przez ASI,
f) użytkownik systemu na stanowisku komputerowym, importujący dane do systemu informatycznego, jest odpowiedzialny za sprawdzenie tych danych pod kątem możliwości występowania wirusów i szkodliwego oprogramowania.
§ 16
1. Ochrona przed awarią zasilania:
a) system, w którym przetwarzane są dane osobowe posiada mechanizmy pozwalające zabezpieczyć je przed ich utratą lub nieautoryzowaną zmianą spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej,
16
DANYCH OSOBOWYCH
b) dane osobowe przetwarzane w systemie chroni się stosując filtry zabezpieczające przed skutkami spadku napięcia oraz urządzenia podtrzymujące zasilanie do momentu poprawnego zapisania danych i wylogowania się użytkownika z systemu,
c) dane osobowe przetwarzane z wykorzystaniem serwera w wewnętrznych sieciach teleinformatycznych zabezpieczone są przed zanikiem napięcia za pomocą centralnego UPS i zewnętrznego stacjonarnego agregatu prądotwórczego.
17
DANYCH OSOBOWYCH
VIII. Zasady udostępniania danych osobowych .
§ 17
1. Udostępnianie danych osobowych ze zbioru danych, osobom lub podmiotom uprawnionym do ich otrzymania odbywać się może na pisemny, umotywowany wniosek.
2. Decyzję o udostępnieniu danych osobowych podejmuje ADO przy współudziale IOD.
3. Po otrzymaniu zgody od ADO, dane do udostępnienia przygotowuje pracownik PSPR w Tarnowie merytorycznie odpowiedzialny za ich przetwarzanie i integralność w porozumieniu z ASI oraz IOD. Pracownik działu udostępniający dane jest zobowiązany do odnotowania informacji o odbiorcach, którym dane zostały udostępnione, dacie i zakresie tego udostępnienia i przekazania tej informacji do IOD.
18
DANYCH OSOBOWYCH
IX. Procedury wykonywania przeglądów i konserwacji systemów.
§ 18
1. Dla zachowania ciągłości pracy i bezpieczeństwa danych przeprowadza się przegląd i konserwację platformy sprzętowej, na której eksploatowany jest system/aplikacja.
2. Przeglądy i konserwacja urządzeń:
a) przeglądy i konserwacja urządzeń wchodzących w skład platformy sprzętowej dla danego systemu/aplikacji powinny być wykonywane w terminach określonych przez producenta sprzętu, b) jeśli producent nie przewidział dla danego urządzenia potrzeby dokonywania przeglądów eksploatacyjnych, lub też nie określił ich częstotliwości, to o dokonaniu przeglądu oraz sposobie jego przeprowadzenia decydują ASI,
c) przegląd i konserwacja urządzeń, może być wykonana na żądanie przełożonego ASI,
d) czynności, o których mowa w § 18 ust 2 lit a) i lit b) wykonują ASI lub osoba przez niego wydelegowana, , sporządzając protokół wg załącznika nr 4 (co najmniej jeden raz w roku) oraz protokół wg załącznika nr 5 (co najmniej jeden raz w miesiącu) do niniejszej Instrukcji,
e) nieprawidłowości ujawnione w trakcie przeglądów bądź konserwacji, powinny być niezwłocznie usunięte, a ich przyczyny przeanalizowane. O fakcie ujawnienia nieprawidłowości ASI informuje ADO,
f) za terminowość przeprowadzenia przeglądów i konserwacji oraz ich prawidłowy przebieg odpowiada przełożony ASI.
§ 19
1. Przegląd systemów/aplikacji i narzędzi programistycznych przeprowadzany jest w celu sprawdzenia poprawności działania i wykonywany jest w następujących przypadkach:
a) zmiany wersji oprogramowania systemu/aplikacji,
b) zmiany wersji oprogramowania na stanowisku komputerowym użytkownika,
c) zmiany systemu operacyjnego platformy sprzętowej, na której eksploatowany jest system/aplikacja,
d) zmiany systemu operacyjnego na stanowisku komputerowym użytkownika,
19
DANYCH OSOBOWYCH
e) wykonania zmian w systemie/aplikacji spowodowanych koniecznością naprawy lub modyfikacji systemu.
§ 20
Konserwacja systemów/aplikacji wykorzystywanych przez użytkowników.
1. Konserwację oprogramowania przeprowadza się po zgłoszeniu przez użytkownika systemu/aplikacji potrzeby wprowadzenia zmian pozwalających dostosować funkcjonalność systemu/aplikacji do obsługi bieżących i planowanych potrzeb PSPR
2. Przed wdrożeniem wymaganych przez użytkownika zmian w systemie/aplikacji informatycznej, należy dokonać sprawdzenia poprawności działania zmodyfikowanego systemu/aplikacji w warunkach testowych .
3 Konserwację systemu/aplikacji przeprowadza się w obecności użytkownika.
20
DANYCH OSOBOWYCH
X. Postanowienia końcowe
§ 21
W sprawach nie uregulowanych niniejszą Instrukcją zastosowanie znajdują:
1. Norma ISO/IEC 27001 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji - Wymagania
2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.
Urz. UE L 119, s. 1) oraz Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U.
z 2018 r. poz. 1000 z późn.zm.) oraz wydanych na jej podstawie rozporządzenia.
3. Wytyczne Grupy Roboczej Art. 29
21
DANYCH OSOBOWYCH
XI. Załączniki
Załącznik nr 1 – Upoważnienie do przetwarzania danych osobowych.
Załącznik nr 2 – Wykaz osób upoważnionych do przetwarzania danych osobowych.
Załącznik nr 3 – Wykaz osób zapoznanych z Instrukcją i Polityką Bezpieczeństwa PSPR Tarnów.
Załącznik nr 4 – Wzór protokołu z przeglądu sprzętu komputerowego w PSPR Tarnów.
Załącznik nr 5 – Wzór protokołu z przeglądu infrastruktury sieciowej i komputerowej w PSPR Tarnów.
